丢弃(r)syslog 中的消息的最佳做法?

丢弃(r)syslog 中的消息的最佳做法?

我已经设置了一个中央 rsyslog 服务器,它将事件写入 MySQL 数据库。

回顾这些事件,我们会看到各种可能不需要捕捉的事件。

在 RHEL/CentOS 系统上,我看到并考虑丢弃以下内容(rsyslog.conf 格式):

:msg,包含,“(root)CMD(run-parts /etc/cron.hourly)”〜

:msg, 包含, “正在运行程序 /usr/sbin/rhn_check” ~

还有哪些类型的消息需要丢弃?

答案1

这完全取决于你自己的喜好。毕竟,远程 syslog 服务器上的日志中没有任何内容对于保持原始服务器的运行至关重要。

我个人不会丢弃太多数据,因为你永远不知道在入侵后可能需要排除故障或进行取证。存储相对便宜,日志压缩效果很好,所以我建议尽可能多地保留,并确定清除旧日志的时间段。我不确定当日志存储在 MySQL 中时如何压缩它们。

如果您确实想要过滤日志,那么要删除的候选对象将是那些对于后续分析价值最小的消息,例如您已经提到的每小时重复的消息。

相关内容